Reazione agli incidenti di sicurezza

Ultimo aggiornamento mercoledì 10 gennaio 2018 à 14:38 da Antonello Ciccarello.

È essenziale identificare i bisogni di sicurezza di un'organizzazione per predisporre le misure che permettano di evitare un sinistro, come ad esempio un'intrusione, un guasto hardware o ancora un danno. Tuttavia, sarà impossibile eliminare completamente tutti i rischi e ogni azienda dovrà aspettarsi prima o poi un incidente.

In questi casi la velocità di reazione è primordiale, poiché una compromissione implica una situazione di pericolo di tutto il sistema di informazione aziendale. Inoltre, quando la compromissione provoca una disfunzione di un servizio, un blocco delle attività di lunga durata può significare una perdita finanziaria. Infine, ad esempio in caso di attacco che modica le pagine del sito web, entra in gioco la reputazione stessa dell'azienda.

Fase di reazione
Ripristino
Simulazione del piano di incidente

Fase di reazione

La fase di reazione è solitamente la fase meno curata nei progetti di sicurezza informatica. Essa consiste nell'anticipare gli eventi e nel prevedere le misure da prendere in caso di problemi. In effetti, in caso di intrusione ad esempio, è possibile che l'amministratore di sistema debba reagire in uno degli scenari seguenti:

Ottenimento dell'indirizzo del pirata e risposta;

Estinzione dell'alimentazione del terminale;

Scollegamento del terminale dalla rete;

Reinstallazione del sistema.

Ora, ciascuna di queste azioni può potenzialmente essere più nociva (soprattutto in termini di costi) che l'intrusione stessa. In effetti, se il funzionamento del terminale compromesso è vitale per il funzionamento del sistema di informazione o se si tratta del sito di e-commerce, l'indisponibilità del servizio per un lungo periodo di tempo può essere catastrofica.

D'altra parte, in questi casi, è essenziale produrre delle prove, in caso di inchiesta giudiziaria. In caso contrario, se il terminale compromesso è servito come ponte per un altro attacco, la responsabilità dell'azienda rischia di essere coinvolta. L'elaborazione di un piano di ripresa dopo un incidente permette così di evitarne un aggravamento e di assicurarsi che sono state applicate correttamente tutte le misure previste per la produzione delle prove.

Dall'altro lato, un piano di incidente correttamente studiato definisce le responsabilità di ognuno ed evita gli ordini e i contrordini che rappresentano una perdita di tempo.

Ripristino

La rimessa in funzione del sistema compromesso deve essere dettagliatamente descritta nel piano di ripresa dopo l'incidente e deve considerare i seguenti elementi:

Data dell'intrusione, la conoscenza della data approssimativa della compromissione permette di valutare i rischi dell'intrusione sul resto della rete e il livello di compromissione del terminale;

Limitazione della compromissione, si tratta di prendere le misure necessarie affinché la compromissione non si propaghi;

Strategia di backup, se l'azienda possiede una strategia di backup, si consiglia di verificare le modifiche apportate ai dati del sistema compromesso rispetto ai dati considerati affidabili. In effetti, se i dati sono stati infettati da un virus o da un cavallo di Troia, il loro recupero rischia di contribuire alla propagazione dell'incidente;

Produzione delle prove, per ragioni legali è necessario salvare i file di log del sistema corrotto per poterli restituire in caso di inchiesta giudiziaria;

Realizzazione di un sito di sostituzione, piuttosto che rimettere in funzione il sistema compromesso, è più saggio prevedere ed attivare quando necessario un sito di sostituzione che permetta di assicurare una continuità di servizio.

Simulazione del piano di incidente

La simulazione del piano di incidente permette di verificare il buon funzionamento del piano e permette ugualmente a tutti gli attori coinvolti di essere sensibilizzati, allo stesso livello dell'utilità delle esercitazioni di evacuazione in caso di incendio previste dal piano di soccorso.